北京
一份安全公告,原本只是“中危”,十幾天后卻被標注為“高危”,并觸發美國網絡安全局的已知漏洞目錄警告。Palo Alto Networks(派拓網絡)的PAN-OS GlobalProtect組件里,一條認證繞過漏洞在補丁發布后,還是沒能擋住攻擊者的腳步。編號CVE-2026-0257的漏洞,正被人用來嘗試滲透企業網絡。
事情最早在5月中旬被Rapid7的研究人員注意到。他們在托管檢測與響應(MDR)服務中,陸續發現多個客戶遭遇了成功的漏洞利用。最早的攻擊痕跡可以追溯到2026年5月17日,當天就有設備接受了偽造的認證覆蓋cookie。Rapid7的安全團隊介入后發現,雖然攻擊者能通過VPN連入內部網絡,但在很多案例中,即便設備接受了偽造cookie,完整的VPN會話并未建立。也就是說,攻擊者頻繁得手,卻似乎沒有在目標網絡里大幅橫向移動。
漏洞的觸發點,落在GlobalProtect網關對“認證覆蓋cookie”的校驗方式上。這類cookie在解密時,PAN-OS軟件只依賴一套配置好的私鑰解碼,解碼后的內容直接被信任,不做任何簽名驗證。如果同一張證書同時用于HTTPS服務和認證覆蓋cookie,攻擊者就能通過HTTPS會話獲取對應的公鑰,再用公鑰構造出會被設備認可的偽造cookie。Rapid7為此開發了一個概念驗證(PoC)程序,演示了從公鑰提取到偽造cookie的完整路徑。
攻擊的節奏并不均勻。Rapid7觀察到5月18日出現了第一波攻擊,基礎設施托管在Vultr上;第二波在5月21日,源頭指向Dromatics Systems。攻擊者瞄準的是本地管理員賬戶,利用偽造的認證覆蓋cookie通過GlobalProtect網關完成身份認證。派拓網絡在5月上旬發布補丁時,給這條漏洞的風險評級還是“中危”——因為要成功利用,設備必須啟用認證覆蓋cookie,并且證書配置要滿足特定條件。可當真實攻擊行為浮出水面,5月的最后一個周五,派拓網絡更新了安全公告,把嚴重等級上調至“高危”,并確認已經發現針對未打補丁設備的有限利用嘗試。
值得注意的是,即便攻擊活動已經在多家客戶的網絡邊緣出現,Rapid7依然沒有觀察到任何成功橫向移動的跡象。這就留下一個謎團:攻擊者似乎滿足于建立最初的VPN連接,卻遲遲沒有深入內網。他們是在試探、收集情報,還是在等待某個特定時機?目前還沒有公開信息能解釋這個現象。唯一清楚的是,到5月29日,CVE-2026-0257已被收錄進CISA的已知被利用漏洞(KEV)目錄,所有聯邦機構被要求在限期內部署緩解措施。
從一份中危補丁到確認野外利用,前后不過兩周多。這讓人再次審視漏洞評級與真實攻擊之間的時間差。派拓網絡的公告措辭里,從“可能被用于未經授權的VPN連接”變成“已發現未緩解設備的有限利用嘗試”,語氣收緊的背后,是企業安全團隊與攻擊者賽跑的又一次被動加速。至于那些看似沒有后續動作的VPN連接,會不會是更隱蔽的跳板準備,只有等待進一步的威脅情報才能拼出全貌。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
